仅通过VPN访问跨帐户S3静态网站

Question

我试图允许访问s3桶静态网站通过VPN从网络aws帐户，桶在prod帐户。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Principal": "account-prod",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::bucket/*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpc": "vpc-1"
                }
            }
        }
       {
            "Sid": "",
            "Effect": "Allow",
            "Principal": "account-network",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::bucket/*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpc": "vpc-2"  <<<>>> tried SourceVpce as well           
                }
            }
        }
    ]
}

我在建立VPN的帐户中使用VPC端点接口，我尝试使用条件SourceVpc和SourceVpce，但没有工作。

我使用传输网关和aws客户端vpn，并允许vpn端点+ SGs + auth规则上的s3端点IP。(使用s3前缀列表和s3前缀列表，通过tgw从s3前缀列表路由条目)

桶使用对象所有者+私有ACL +桶策略，我尝试使用规范的帐户id添加授权人。

你知道我在这里做错了什么吗？

这目前在prod帐户中工作，因为我们有另一个运行在那里的vpn解决方案，我们正在尝试将所有东西迁移到网络帐户并转移到aws客户端VPN。

Answer 1

有什么想法吗我在这里做错了什么？

是。s3桶静态网站只能通过互联网访问。您不能使用来自VPC或VPN的私有IP地址访问它们。如果您使用VPN，您必须设置一些代理来访问使用互联网的网站，然后将其传回给您的主机。

Answer 2

确保您的VPC子网路由表有到S3端点的路由，并且端点的策略是提供访问。

https://tomgregory.com/when-to-use-an-aws-s3-vpc-endpoint/

接下来，按照下面的方式设置桶策略，尝试从VPC端点的源而不是VPC本身提供访问权限。(请注意策略文档中的vpce )。

https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies-vpc-endpoint.html